Критичната инфраструктура на Израел е застрашена от иранска хакерска група, действаща в Ливан.

Партньорството на Иран с въоръжени войнствени групировки в целия Близък изток е добре документирано. По-малко известно е сътрудничеството му с чуждестранни хакери, като „Polonium“ (известна още като „Plaid Rain“), която от 2021 г. насам изглежда действа с единствената цел да атакува Израел.

Според „Майкрософт“ само през пролетта на 2022 г. Polonium е шпионирала над 20 израелски организации в търговски, критични и правителствени сектори, включително транспорт, критично производство, ИТ, финанси, селско стопанство и здравеопазване.

Сега групата изглежда е направила още една стъпка нагоре. На 4 декември Националната кибердирекция на Израел предупреди, че Polonium се е насочила към още критични инфраструктурни сектори, включително вода и енергия. И освен шпионаж, пише дирекцията, „напоследък е установена тенденция за осъществяване на разрушителни атаки“.

Dark Reading се обърна към Министерството на отбраната на Израел за повече подробности, но все още не е получил отговор.

Почеркът на Polonium

От страна, в която има само няколко сравнително тихи APT групи – Volatile Cedar, Tempting Cedar и Dark Caracal – човек може да се изкуши да подцени Polonium.

Но освен констатациите на Microsoft за нейните цели, през октомври 2022 г. изследователи от ESET откриха още над дузина атаки, извършени от същата група, през същата година, в още повече сектори, включително инженерство, право, комуникации, маркетинг, медии, застраховане и социални услуги.

За първоначален достъп Polonium най-често експлоатира устройствата на Fortinet – използвайки изтекли идентификационни данни за Fortinet VPN или чрез CVE-2018-13379, уязвимост в устройствата на Fortinet с оценка CVSS 9.8 „критична“, закърпена още преди появата на групата. За командване и контрол (C2) тя предпочиташе облачни услуги като Microsoft OneDrive, Dropbox и Mega.

Най-важното е, че през първата година от дейността си групата е внедрила не по-малко от седем персонализирани задни врати срещу своите цели, които могат да разгръщат обратни обвивки, да ексфилтрират файлове, да правят снимки на екрани, да регистрират натискания на клавиши, да поемат контрол над уебкамери и др.

И вместо да опаковат тези задни врати като монолит, хакерите ги разделят на фрагменти – малки файлове, всеки с ограничена функционалност. Например един файл с библиотека за динамични връзки (DLL) отговаря за заснемането на екрани, а друг се грижи за качването им на сървър C2. „Идеята е да се разделят функционалностите на различни компоненти, така че отделните компоненти да изглеждат по-малко подозрителни за софтуера за сигурност“, обяснява Матиас Пороли, изследовател на зловреден софтуер в ESET.

Дори когато Polonium разви своите инструменти и тактики през последните месеци, все още се придържаше към тази формула.

„През 2023 г. те са се отдалечили от изпълнимите файлове и DLL файловете и използват скриптови езици за своя зловреден софтуер. Наблюдавахме задни врати на Python, както и задни врати на LUA“, казва Пороли, като отбелязва, че последните са доста необичайни.

„Те все още поставят конфигурацията за своя зловреден софтуер в отделен файл. Това затруднява анализаторите да разберат потока на изпълнение, в случаите, когато анализаторите не разполагат с всички файлове, използвани при атаките“, казва той.

Кибервойната на Иран

На фона на войната в Газа Израел се сблъсква със значително нарастване на кибератаките.

Например три седмици след началото на войната Дирекцията за киберпространството вече е идентифицирала повече от 40 опита за компрометиране на доставчици на цифрови услуги и съхранение на данни. „Наблюдава се увеличение на опитите срещу такива компании и дори инциденти, които са причинили реални щети на няколко компании едновременно“, пише агенцията в предупреждение.

По-големият проблем, обяснява тя, е, че „потенциалът за щети може да достигне и до жизненоважни структури, свързани с тези компании, чиято роля в рутинни и още повече в извънредни ситуации е критична, включително болници, транспортни компании, министерства и др.“

Фактът, че нападателите невинаги са тези, които дърпат конците, само прави защитата срещу тях още по-трудна, казва Мария Кънингам, директор на отдела за изследване на заплахите ReliaQuest. „Русия често е първата национална държава, за която се сещаме тук“, казва тя, въпреки че „интересен начин на действие често се демонстрира от участници в заплахи, приписвани на Северна Корея, които на пръв поглед могат да изглеждат криминални.“

„Това може да осигури правдоподобно отричане за нападателя; за защитника това може да ограничи приписването и, което е по-важно, да попречи на разбирането на това какво може да последва в арсенала на нападателя“, казва тя.